文章总结： 本文系统讲解nmap网络安全扫描工具在CTF实战中的核心应用，重点介绍快速情报扫描、全端口深度挖掘、内网存活探测和服务漏洞脚本扫描四大高频命令，并结合原创CTF真题演示完整解题流程：通过全端口扫描发现隐藏FTP服务、利用脚本定位匿名登录漏洞、获取配置文件凭证实现权限突破。文章强调信息收集完整性是渗透成功的关键，并提供进阶方向如自定义脚本编写和防火墙绕过技巧。 综合评分： 78 文章分类： 安全工具,CTF,渗透测试,实战经验

网安工具30天通（第1期）｜nmap：从扫描到拿下CTF实战靶机的核心玩法

原创

点击关注👉 点击关注👉

网络安全学习室

2026年2月23日 15:56 湖南

一、工具核心定位

nmap（Network Mapper）是网络安全领域无可替代的情报收集工具，也是CTF、渗透测试、内网运维的“入门第一课”。它的核心不是“扫端口”，而是为后续所有攻击动作提供精准的目标情报——哪些服务在运行、版本是否有漏洞、是否开放隐藏端口、操作系统是什么，这些信息直接决定渗透的方向。

与基础教程不同，本期只聚焦实战高频功能，剔除所有冗余的理论配置，只讲能直接用在靶机和CTF赛场的核心能力。

二、核心命令（按实战优先级排序）

所有命令均适配Kali Linux，复制即可执行，标注CTF必用与避坑要点，拒绝单纯罗列。

| 命令场景 | 完整命令 | 核心作用 | 实战避坑 | | — | — | — | — | | 快速情报扫描（首选） | nmap -sC -sV -T4 目标IP | 扫描常用端口、识别服务版本、执行默认漏洞脚本 | -T4 为速度等级，CTF靶机可直接用，避免-T5被防火墙拦截 | | 全端口深度挖掘（核心） | nmap -p- --open -sV -oN scan.log 目标IP | 扫描所有65535个端口、只保留开放端口、导出日志 | 耗时较长，建议后台执行：nohup nmap -p- --open 目标IP & | | 内网存活主机探测 | nmap -sn 192.168.1.0/24 -oG live_hosts.txt | 快速找出网段内在线主机，生成可直接读取的清单 | 不发送端口扫描包，隐蔽性强，适合内网CTF场景 | | 服务漏洞脚本扫描 | nmap --script=vuln -p 目标端口 目标IP | 针对指定端口执行漏洞检测脚本（如FTP匿名登录、SMB漏洞） | 仅针对已知服务端口执行，避免全端口扫描浪费时间 |

三、经典CTF真题实战（原创中等难度·可复现）

真题名称：魅影FTP的秘密

出题场景：CTF信息收集专项赛

靶机信息

• 操作系统：Ubuntu 20.04
• 公开端口：22（SSH）、80（Nginx）
• 出题要求：通过信息收集获取网站管理员权限，最终读取/root/flag.txt
• 提示：漏洞藏在“被遗忘的测试服务”中

完整解题流程（纯nmap驱动+实战衔接）

步骤1：初轮扫描，锁定基础服务

执行快速情报扫描，建立靶机基础认知：

扫描结果核心片段：

分析：常规服务无明显漏洞，SSH无弱口令（尝试常见字典失败），80端口为静态页面，无后台入口，需挖掘隐藏线索。

步骤2：全端口扫描，突破信息盲区

这是本题的关键转折点，执行全端口开放扫描：

约2分钟后，日志中出现关键新增端口：

分析：5521为非默认FTP端口，属于典型的“测试遗留服务”，极有可能存在配置漏洞。

步骤3：脚本扫描，精准定位漏洞

针对5521端口执行漏洞专项脚本，无需手动测试：

扫描结果直接暴露核心漏洞：

分析：排除高危后门漏洞，但确认匿名登录权限，且存在可读写的web_config目录（权限777），极有可能包含网站配置文件。

步骤4：利用情报，完成权限突破

基于nmap的扫描结果，直接登录FTP获取关键凭证：

查看配置文件内容：

提取核心凭证：

访问http://172.16.10.5/admin_8f3k9，使用上述凭证登录后台，通过“文件管理”功能上传一句话木马，获取服务器权限，最终读取/root/flag.txt：

四、实战复盘（工具价值落地）

1. 本题的核心考点不是漏洞利用，而是**“信息收集的完整性”**——若跳过全端口扫描，5521端口的FTP服务永远不会被发现，解题将陷入死局。
2. nmap的脚本扫描功能直接替代了“手动测试匿名登录”的步骤，在CTF赛场中，这能节省至少5分钟的时间成本。
3. 扫描日志的导出功能（-oN）是团队协作的关键，可随时回溯扫描结果，避免重复操作。

五、工具拓展（进阶方向）

1. 自定义脚本：针对常见漏洞（如Redis未授权、MySQL弱口令），可编写nmap脚本，实现自动化检测。
2. 防火墙绕过：面对防护严格的靶机，可使用-f（碎片包扫描）、--data-length（自定义数据包长度）规避检测。
3. 批量扫描：结合shell脚本，用nmap实现整个网段的批量情报收集，适合内网CTF场景。

六、福利领取：全系列资料合集

为了感谢大家的一路跟随，整理了 「200节攻防教程资源包」这是我整理的精华内容，覆盖网安所有核心知识点，后台回复“学习”即可获取：

全套学习资源，可以点击文末阅读原文领取200节攻防教程

七、下期预告（第2期）

春节放假不停更，明日工具：Dirsearch（目录扫描神器）。

配套真题：《消失的后台入口》，教你用目录扫描突破静态网站的限制，找到隐藏的管理后台，解锁Web渗透的核心第一步！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全学习室 点击关注👉 点击关注👉《网安工具30天通（第1期）｜nmap：从扫描到拿下CTF实战靶机的核心玩法》